OBLIDA
Les tecnologies web més noves com WebAssembly i Rust estan ajudant a reduir massivament el temps que triguen alguns processos del client a completar-se quan es carreguen les pàgines, però els desenvolupadors ara publiquen nova informació que podria provocar pegats per a aquestes plataformes d’aplicacions en les properes setmanes .
Hi ha diverses addicions i actualitzacions previstes per a WebAssembly, que hipotèticament podrien fer inútils algunes de les mitigacions dels atacs Meltdown i Spectre. Un informe publicat per un investigador de Forcepoint insinuava que els mòduls WebAssembly es podrien utilitzar amb finalitats nefastes i que certs tipus d’atacs de sincronització podrien empitjorar a causa de les noves rutines destinades a fer la plataforma més accessible per als programadors.
Els atacs temporals són una subclase d’explotacions de canals laterals que permeten a tercers observar les dades xifrades per esbrinar quant de temps triga a executar un algorisme criptogràfic. Meltdown, Spectre i altres vulnerabilitats relacionades amb la CPU són exemples d'atacs temporals.
L'informe suggereix que WebAssembly facilitaria molt més aquests càlculs. Ja s’ha utilitzat com a vector d’atac per instal·lar programari de mineria de criptomonedes sense permís, i també podria ser un àmbit on es necessitaran nous pegats per evitar nous abusos. Això podria significar que és possible que els pedaços d’aquestes actualitzacions hagin de sortir després que es publiquin a la majoria d’usuaris.
Mozilla ha intentat mitigar el problema dels atacs temporals fins a cert punt rebutjant la precisió d’alguns comptadors de rendiment, però les noves incorporacions a WebAssembly podrien fer que això ja no fos efectiu, ja que aquestes actualitzacions podrien permetre l’execució de codi opac a la màquina d’un usuari. Aquest codi teòricament es podria escriure en un llenguatge de nivell superior abans de tornar a compilar-se al format de bytecode WASM.
L’equip que desenvolupa Rust, una tecnologia que el propi Mozilla ha promogut, ha introduït un procés de divulgació en cinc passos, així com reconeixements per correu electrònic 24 hores per a tots els informes d’errors. Tot i que el seu equip de seguretat sembla ser molt petit en aquest moment, és molt probable que sigui una mica similar a l’enfocament que adoptaran molts consorcis de plataformes d’aplicacions més recents a l’hora de tractar aquest tipus de qüestions.
Es recomana als usuaris finals, com sempre, que instal·lin actualitzacions rellevants per reduir el risc general de desenvolupar vulnerabilitats relacionades amb els exploits basats en la CPU.
Etiquetes seguretat web
![[FIX] 'No s'ha trobat Fsquirt.exe' en obrir l'assistent de transferència Bluetooth](https://jf-balio.pt/img/how-tos/04/fsquirt-exe-not-found-when-opening-bluetooth-transfer-wizard.png)
![[FIX] Error de Xbox One 'No podem trobar un micròfon per a aquestes persones'](https://jf-balio.pt/img/how-tos/21/xbox-one-error-we-can-t-find-microphone.png)
